RuMMS恶意软件重出江湖了
RuMMS恶意软件不仅又回来了,而且攻击功能又大大的增强了。2016年新型安卓恶意软件家族RuMMS就已经利用短信钓鱼攻击了俄罗斯地区的用户。
最近,美国网络安全公司Zscaler的ThreatLabZ团队发现了一个恶意软件,这个恶意软件是在一个名为mmsprivate[.]的虚假MMS网站上发现的。该网站都是一些色情照片,从而引诱受害者对其进行访问。当受害者访问时,该网站就会发出这样的提示:“如果你想观看更多劲爆内容,就请接受我们的协议”。当用户点击同意后,恶意Android软件包(APK)就将自动下载到被攻击者的手机中。恶意软件将自己伪装成Сooбщениe(可见是只针对俄罗斯地区的用户),其翻译成英文就是Messages的意思,并通过利用Android AccessibilityService执行其恶意功能,Android AccessibilityService可帮助残障人士使用Android设备和应用程序。然后。攻击时,恶意软件会隐藏自己,以监视用户。
在分析时,ThreatLabZ团队发现它与FireMye研究人员2016年发现的名为RuMMS的恶意软件相似,只是进行了一些修改。该新版本包含各种增强功能,因此ThreatLabZ团队将其称之为RuMMS 2.0版。
RuMMS 2.0的简单介绍
· 应用程序名称:Сooбщениe
· 哈希:c1f80e88a0470711cac720a66747665e
· Android软件包名称:ru.row.glass
RuMMS 2.0的下载和安装
恶意软件通过网站mmsprivate[.]site/feel/进行传播,并且很可能通过短信或电子邮件的形式。一旦用户点击链接,该软件就会诱使受害者点击一个按钮,植入恶意APK。这时托管在URL上的内容是采用的俄文,你可以在下图中查看翻译后的说明。
执行APK下载的初始URL该APK来自一个未知源,由于Android系统不允许直接安装,因此只需通过简单点击即可启用“未知来源”选项来安装恶意应用程序。下图从左至右,显示了每一步安装过程。
从未知来源安装启用AccessibilityService
安装完成后,应用程序将自己伪装成一个消息应用程序(如下面所示)。在第一次使用时,应用程序会重新定向受害者,以启用Android AccessibilityService。一旦Android AccessibilityService启用,应用程序将从主屏幕上消失,隐藏到后台。
AccessibilityService的启用如果受害者的AccessibilityService未被启用,则恶意软件将持续出现在屏幕上(上图中的第二个屏幕截图),以诱导受害者启用该服务。
一旦启用AccessibilityService,恶意软件就会启动,使短信成为默认的消息传递渠道。通过使用AccessibilityService的功能,在确认该应用程序所发送的消息是否静默时,后台会自动选择“Yes”,如下图所示,用户将无法看到这个消息框,因为所有的操作都是在后台悄然进行的。
运行中的AccessibilityService通讯机制
研究人员的调查显示,一旦初始设置完成,恶意软件就会开始向命令和控制(C&C)服务器发送详细信息,C&C的细节被硬编码。来自C&C的请求和响应使用Base64编码。下图显示了正在发送和接收的解码值:
第一次请求上图显示了受害者设备回传给C&C的详细信息,C&C用命令“40”和应用程序名称回复。请注意命令“40”是用于禁用应用程序的。
初始响应以本文的RuMMS 2.0为例,要禁用的应用程序列表中,还包含了各种杀毒软件,其中包括:
· Trend Micro
· Dr.Web
· AhnLab
· Avira
· Sophos
· McAfee
· F-Secure
恶意软件这么做的目的就是要确保所有这些安防软件都不可操作。一旦受害者试图打开其中一个应用程序,恶意软件会立即关闭它。它的行为类似于一个臭名昭著的攻击俄罗斯银行Sber Bank的木马,当时该木马在攻击Sber Bank的应用程序时,也是不允许任何安防软件打开。
用户发送和盗取的信息短信
安装完毕后,恶意软件会等待来自C&C服务器的命令,并由此开始各种攻击。正如下面展示样本那样,研究人员发现命令 “11”被用于发送短信,这个短信可以发送到到任何的手机上,至于短信内容,则由C&C控制。
包含短信命令的响应经过进一步分析,研究人员还发现恶意软件能窃取受害者手机上的短信,另外该功能还可用于窃取与银行相关的一次性密码代码(这样双重因素验证就不管用了)和其他相关信息。下图展示了此功能的实际用处:
窃取短信消息盗取手机上的通讯录
该恶意软件还能够窃取受害者手机上的通讯录,这一恶意功能是用来进一步传播恶意软件的一种著名技术,叫做SMS-Phishing (或SMiShing)。
盗取手机上的通讯录呼叫功能
该恶意软件还具有通话功能,在下面的例子中,被拨出的号码是以C&C服务器以编码的方式发送过来的。
呼叫功能的实现研究人员注意到的一个更有趣的事情是恶意软件传播的方式,每当研究人员访问链接时,他们都会看到一个新的恶意应用程序,这些应用程序的功能和RuMMS 2.0一模一样,只是具有不同的应用程序名称,不同的软件包名称,甚至使用不同的Android证书签名。研究人员还发现,应用程序具有不同的C&C服务器,其格式为http://<domain-name>.com/<random-chars>/index.php。 以下为研究人员发现的与C&C服务器关联的域名:
总结
RuMMS 2.0具有很多增强功能和更新的功能,目前迭代的RuMMS已经全面投入使用。在2018年5月的最后10天,Zscaler ThreatlabZ团队发现了580多个类似的应用程序,已在野外被利用。因此,小编建议清除未知链接,不要相信任何通过短信或电子邮件收到的可疑网址,只能从官方应用商店下载应用。另外,580多个类似的应用程序的完整列表可以在这里找到。
本文翻译自:https://www.zscaler.com/blogs/research/rumms-malware-back-enhancements如若转载,请注明原文地址:http://www.4hou.com/mobile/12014.html 更多内容请关注“嘶吼专业版”——Pro4hou相关内容
- 强化信息安全,向钓鱼邮件说“不”
- 【网络安全 e同守护】防不胜防?网络钓鱼攻击常用手法盘点与防护建议
- 证据确凿!以假邮件“钓鱼”,美国使用41种网络武器攻击西工大
- 越来越多的黑客偏爱电子邮件网络钓鱼攻击
- 偶遇一个钓鱼网站,于是就简单玩了一下...
- 2020年您必须知道的29个最新网络钓鱼统计数据
- 如何保护个人信息?你的信息泄露了吗?
- 咋避免连上钓鱼WI-FI?“智慧手段”教你保护好个人信息安全
- 【全民反诈】南昌网警案例警示系列:网络招嫖入陷阱,色字头上一把刀
- 攻破黑市最流行的钓鱼网站(第二弹)
- 攻破黑市最流行的钓鱼网站(第二弹)
- 谷歌上周日均检出超过1800万与COVID-19有关的恶意钓鱼邮件